光明网讯（记者 李政葳）在5月6日举行的“2022网络安全运营技术峰会”上，国内权威咨询机构赛迪顾问发布了《中国攻击面管理市场白皮书》（以下简称白皮书）。据介绍，这是我国网络安全领域首份就攻击面管理方向发布的白皮书。

　　白皮书详细剖析了中国攻击面管理技术发展现状，分享了攻击面管理领域的创新技术和典型应用场景，并对攻击面管理未来发展趋势进行预测。白皮书旨在以数字化转型为背景，探讨攻击面管理在新一代网络安全防御体系中的能动作用。

　　攻击面管理的本土化洞察

　　白皮书指出，攻击面管理（ASM）是一种从攻击者视角对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性，而这里的所有资产包含已知资产、未知资产、数字品牌、泄露数据等等一系列可存在被利用的风险的资产内容。

　　攻击面管理，最早由国际知名咨询机构Gartner于2018年首次提出。在2021年7月，Gartner将攻击面管理相关技术定义为网络安全运营技术中的新兴技术。Gartner认为攻击面管理由网络资产攻击面管理（CAASM）、外部攻击面管理（EASM）以及数字风险保护（DRPS）三部分组成。赛迪顾问本次发布的白皮书基于应用场景的维度，将攻击面管理分为外部视角的攻击面管理和内部视角的攻击面管理，数字风险保护依据其外延与内核归属为外部视角的攻击面管理。

　　其中，外部视角的攻击面管理主要关注外部资产，使用一系列来源和方法来扫描全球的互联网，寻找其面向外部的资产暴露面，并且对这种资产暴露面进行可视化。而内部视角的攻击面管理关注企业数字化资产，发现功能主要通过与现有工具的API集成来工作，依赖于其他已部署的技术作为上下文，并富化从这些技术中提取的数据，以提供组织资产库存的整体视图。

　　阐释体系搭建与成熟度模型

　　在白皮书中，赛迪顾问将攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景三层。基础技术为支撑攻击面管理的技术能力集合，多种技术组合形成攻击面管理的能力体系，根据不同的业务场景需求采用不同的能力组合，形成不同的应用场景下的攻击面管理解决方案，为用户提供有针对性的攻击面闭环管理能力。

　　此外，在白皮书中建立了攻击面管理的成熟度模型，主要是工具阶段的被动防御、平台阶段的主动防御、流程化阶段的对抗防御、先知阶段的优先防御四个层级；提出了暴露面获取、脆弱点发现、攻击面挖掘、情报获取能力等攻击面管理要具备的12个能力域，从检测发现、分析研判、情报预警、响应运营的闭环管控过程分解了响应的能力子项，从子能力的具备和完善情况来评价攻击面管理的有效性。

　　透视场景应用与趋势预测

　　随着数字化转型进程的不断加深，攻击面管理的应用场景也将不断涌现。在本次发布的白皮书中，选取了3个典型引用场景，即行业垂直监管场景中的攻击面管理、物联网场景中的泛终端攻击面管理、网络安全保险中的攻击面管理，旨在提升用户对于攻击面管理技术的使用体验，并由核心应用场景向更多应用场景拓展。

　　最后，白皮书对于攻击面管理的未来市场和技术的发展趋势进行了预测。白皮书指出，在未来一段时间内，攻击面管理将从传统场景扩展到新兴技术领域，将与业务风险管理融为一体；供应链和第三方风险管理将成为攻击面管理的重要组成部分；自动化、智能化技术在攻击面管理产品中得到广泛应用。